Alexa-Sprachdateien preisgegeben: Hätte Amazon Nutzer informieren müssen?

Inhaltsverzeichnis

Durch einen Fehler von Amazon.de sind rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten gefallen. Ob Amazon.de die Panne innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet hat, teilt der Konzern nicht mit. Den betroffenen Echo-Nutzer kontaktierte Amazon.de erst vier Wochen nach der Panne.

Lesen Sie dazu auch:

• Amazon gibt intime Alexa-Sprachdateien preis
• Alexa-FAQ: So löschen Sie Ihre persönlichen Sprachaufzeichnungen
  

Über die rechtlichen Fragen des Falls hat c't ein Interview mit dem Rechtsanwalt Carlo Piltz geführt. Der berät mittlere und große Unternehmen in Fragen des Datenschutzrechts und betreibt das Blog delegedata.de. Ein gekürzte Fassung des Gesprächs findet sich in der c't 01/19, im Folgenden nun das ungekürzte Interview:

c't: Besteht im vorliegenden Fall für Amazon.de die Pflicht, diese versehentliche Weitergabe sensibler Daten an Dritte an die zuständige Datenschutzbehörde zu melden?

Carlo Piltz: Eine Meldepflicht könnte bestehen, wenn eine sogenannte "Verletzung des Schutzes personenbezogener Daten" vorliegt und diese zusätzlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt. Die seit dem 25. Mai geltende DSGVO sieht hier strengere Anforderungen vor, als das alte Datenschutzrecht. Die Offenlegung von Tondateien an den Auskunftssuchenden, auf denen eine andere Person zu erkennen ist, dürfte eine solche Verletzung des Schutzes personenbezogener Daten darstellen. Nach der DSGVO handelt es sich dabei um eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die gespeichert wurden. Diese unbefugte Offenlegung, auch wenn sie nur unbeabsichtigt erfolgte, ist hier meines Erachtens gegeben.

Melden muss Amazon diesen Vorfall an die zuständige Aufsichtsbehörde aber nur, wenn ein Risiko für den Betroffenen (also die Person, die auf den Tondateien zu hören ist), besteht. Ein solches Risiko liegt etwa dann vor, wenn die unbefugte Offenlegung zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Beispielhaft nennt die DSGVO etwa den Verlust der Kontrolle über die eigenen personenbezogenen Daten oder die Einschränkung der eigenen Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug. Meines Erachtens wird man hier, je nach dem konkreten Inhalt der Tondateien, schon von einem Risiko für den Betroffenen ausgehen können. Gerade, wenn man sich vorstellt, dass der Inhalt der Dateien z.B. Aufnahmen aus der privaten Wohnung enthält. Der von der DSGVO erwähnte "Verlust der Kontrolle über ihre personenbezogenen Daten" ist ja hier offensichtlich eingetreten, da die auskunftssuchende Person auf einmal über eine umfangreiche Sammlung von Tondateien verfügt hat, auf denen der Betroffene zu hören war.

Amazon.de ist eine Zweigniederlassung von Amazon und sitzt in München. Welche Aufsichtsbehörde ist da eigentlich zuständig?

Die Meldung nach der DSGVO muss an die zuständige Aufsichtsbehörde erfolgen. Das könnte das Bayerische Landesamt für Datenschutzaufsicht in Ansbach sein. Bei international tätigen Unternehmen, mit mehreren Niederlassungen in der EU, gilt seit der DSGVO aber das sog. One-Stop-Shop-Prinzip. Es soll, sowohl für betroffene Personen als auch Unternehmen in der EU nur eine Aufsichtsbehörde geben, die am Ende die letzte Entscheidung treffen darf (außer sie wird in streitigen Fällen von anderen Datenschutzbehörden auf europäischer Ebene überstimmt).

Für Unternehmen bedeutet dies, dass für sie in Europa die sogenannte federführende Behörde letztentscheidend zuständig ist. Ausschließlich die Aufsichtsbehörde der Hauptniederlassung eines Unternehmens ist als federführende Behörde zuständig. Sie ist die alleinige Ansprechpartnerin für das Unternehmen und ist damit auch Adressat der Meldung.

Da die Hauptniederlassung von Amazon Europe wohl in Luxemburg liegt, könnte die dortige Aufsichtsbehörde, die Commission Nationale pour la Protection des Données, als federführende Behörde zuständig sein.